作為提升信息化效率、降低成本的重要手段,虛擬化是每一個企業(yè)在信息化道路上所必需跨過的一道門檻。為了全面推進虛擬化進程,避免安全失控的風險,中信證券股份有限公司(以下簡稱:中信證券)攜手全球服務器安全、虛擬化及云計算安全領(lǐng)導廠商趨勢科技,采用無代理特性的趨勢科技Deep Security,全面化解虛擬機防毒掃描風暴(AV Storms)難題,在虛擬化安全統(tǒng)一管理平臺上實現(xiàn)了更穩(wěn)、更快的目標,讓業(yè)務連續(xù)性管理(Business Continuity Management,簡稱BCM)水平不斷提升。
穩(wěn)定第一,但不能放棄“性能”
作為一家知名的全國性綜合類證券公司,中信證券在統(tǒng)一營業(yè)部系統(tǒng)、開通網(wǎng)上交易、實現(xiàn)廣域網(wǎng)連接、數(shù)據(jù)中心虛擬化等方面,都在我國證券行業(yè)處于“旗標”位置。隨著中信證券對虛擬化技術(shù)的深入探究,信息技術(shù)中心對自身的IT基礎架構(gòu)進行了虛擬化改造,在北京、深圳、青島三大數(shù)據(jù)中心搭建了虛擬化平臺,并將測試網(wǎng)中大部分服務器遷移到了VMware虛擬化平臺。
在堅持守法合規(guī)經(jīng)營、嚴格控制各類風險的規(guī)劃目標下,中信證券對應用測試環(huán)境的部署效率,以及測試與生產(chǎn)環(huán)境一致性的要求變得越來越高。而在40多臺VMware ESX 服務器上,既要實現(xiàn)1:50的虛擬機密度,又要同時保護千余臺虛擬機的安全運行,這讓運維部門工作壓力越來越重。
據(jù)中信證券信息技術(shù)中心的工程師介紹:穩(wěn)定第一,但不是說我們會放棄性能。虛擬化系統(tǒng)在響應速度和性能方面的表現(xiàn),將直接關(guān)系到最終用戶在使用相關(guān)服務時的用戶體驗,這可以說是中信證券服務質(zhì)量中最重要的一環(huán)。但由于傳統(tǒng)防病毒軟件不是針對虛擬化而設計,虛擬機上安裝傳統(tǒng)防病毒軟件后,當所有的虛擬機進行預設掃描時,VMware虛擬化平臺的CPU利用率、I/O讀寫等都變得非常高,訪問延遲讓人無法接受。因此,虛擬化安全已經(jīng)變成了網(wǎng)絡中的防護弱點,更是保障業(yè)務連續(xù)性不得不面對的挑戰(zhàn)。
聚焦“無代理”特性, Deep Security 屢立戰(zhàn)功
對中信證券來說,提前一步發(fā)現(xiàn)了虛擬化防毒可能帶來的“性能銳減”問題,對全面推進、并最終在生產(chǎn)網(wǎng)絡上實現(xiàn)虛擬化架構(gòu)則是“一件好事”。這可以提前把虛擬化安全風險降至最低,讓安全策略與防毒管理提前適應架構(gòu)的變化。為此,中信證券對市場上所有防毒軟件的功能進行了綜合評估,同時也與VMware廠商的資深工程師對原有傳統(tǒng)病毒防護軟件“不適應性”進行了分析。最終,中信證券信息技術(shù)中心將目光鎖定在基于無代理特性的趨勢科技Deep Security身上。
首先,趨勢科技Deep Security的無代理防病毒解決方案集成了VMware的vShield Endpoint技術(shù)接口,使VMware虛擬化平臺上的所有虛擬機無需安裝任何軟件就能對病毒、間諜軟件、木馬等威脅進行查殺;其次,Deep Security有效降低了虛擬機并發(fā)全盤掃描、病毒庫更新時對VMware虛擬化平臺產(chǎn)生的大量資源消耗,不存在防毒掃描風暴(AV Storms)的問題;最后,管理員不但可以利用Deep Security發(fā)現(xiàn)藏匿在虛擬網(wǎng)絡中的惡意流量,同時還可以利用 VMware vShield技術(shù)來保護處于運行狀態(tài)和休眠狀態(tài)的虛擬機。
據(jù)了解,中信證券為保障生產(chǎn)網(wǎng)萬無一失,首先在測試網(wǎng)部署了Deep Security,并對Deep Security的防護效果、性能、穩(wěn)定性及兼容性進行測試評估,為虛擬化推至生產(chǎn)網(wǎng)絡做足了準備。從2012年底至今,Deep Security穩(wěn)定運行并在測試網(wǎng)中屢次“殺毒立功”,而Deep Security進行殺毒時所占資源比使用傳統(tǒng)防病毒軟件有明顯減低,隨著虛擬機數(shù)量的增加,性能方面的優(yōu)勢則更加明顯。
正因如此,中信證券信息技術(shù)中心對Deep Security的防毒效果給出了極高的評價:“Deep Security為我們提供了防惡意軟件、Web信譽、防火墻、入侵阻止、完整性監(jiān)控和日志檢查,在簡化安全操作的同時,大幅提升了虛擬化項目的投資回報率。這些都讓我們可以徹底走出虛擬化的嘗試階段,可以最大限度的設計虛擬機密度。未來,中信證券將采用Deep Security的虛擬補丁功能,來解決防護間隙(Instant-On Gap)的難題,讓更多的業(yè)務、更多的應用匯聚于新一代的虛擬化數(shù)據(jù)中心。
京公網(wǎng)安備 11010502049343號